在資料和資訊像商品一樣交易的時代,保護它們是至關重要的。做到這一點的方法之一是在ISO/IEC 2700x系列資訊安全標準的基礎上實施資訊安全管理。這是一個針對私人、公共或非營利組織的IT安全和資訊安全的國際標準系列。在ISO 27001的基礎上,可以實施資訊安全管理系統(ISMS),各組織和公共機構可以建立、執行該系統並對其進行驗證以保護自己。
資訊安全的標準:ISO 2700X系列標準
ISO 2700x系列中的各個資訊安全標準關係到資訊安全領域的不同主題。例如,國際標準規定了 ISO 27001為資訊安全管理系統(ISMS)。 ISO 27701資料保護管理系統,ISO 27017為雲端運算的資訊安全措施提供指南,而ISO 27005為資訊安全風險管理提供指南。
所有產業的公司都可以從這些資訊安全標準的系統化方法中受益。它可以保護機密資料免於丟失和濫用,並有助於可靠地鑑別和減少(潛在)威脅。該方法有助於確保企業IT系統的可用性,從而有助於最佳化業務流程,降低IT和流程成本,並將商業和責任風險降至最低。
驗證是競爭優勢
ISO 27001驗證,例如DQS的驗證,需要一定的準備和努力。然而,公司提供書面證明,它符合資訊安全要求,並實施了保護公司敏感資料的措施。這是一個明顯的競爭優勢。
應該熟悉的十個ISO資訊安全標準
以下的清單提供了關於資訊安全方面的ISO 2700x系列標準的現狀訊息概述。所有標準都可以從ISO網站上 購買。
ISO 27001 - 資訊安全管理系統的要求
在資料和資訊像稀有商品一樣交易的時代,對它們的保護是至關重要的。符合標準、結構良好的資訊安全管理系統(ISMS)為有效實施整體安全戰略提供了一個最佳基礎。 ISO 27001 這是一個國際公認的私人、公共或非營利組織的資訊安全標準,它不僅涵蓋了IT安全的各個方面。
ISO 27001 在實踐中
DQS 稽核指南
DQS 稽核指南 (根據ISO 27001:2013)
從附件 A 中選定控制的良好稽核問題和可能證據中受益。
來自該領域的專家
ISO 27001 ISMS定義了要求、規則和方法,以確保組織中需要保護的資訊的安全性。ISO標準提供了一個建立、執行、監測和改善保護水準的模型。其目的是鑑別公司的潛在風險,對其進行分析,並透過適當的措施使其可以控制。ISO 27001制定了此類管理系統的要求,作為外部驗證流程的一部分執行稽核。
可以使用該標準實現此目的:
- 使敏感資訊的安全成為企業流程的一個組成部分
- 對保護目標資訊的保密性、可用性和完整性執行預防性保障
- 透過不斷提高安全等級來保持業務的連續性
- 對員工進行宣傳,大幅提高公司各層級的安全意識
- 與有關各方人員建立信任
- 建立有效的風險管理流程
ISO/IEC 27001:2013
資訊技術 - 安全技術 -資訊安全管理系統 - 要求
修訂版於 2022 年 10 月 25 日發佈。當前版本 ISO/IEC 27001:2013 將於 2025 年 10 月到期。
ISO 27019 - 能源供應的資訊安全措施。
ISO 27019資訊安全標準制定了能源產業部門的補充措施。
ISO/IEC 27019:2017
資訊技術--安全技術--能源公用事業產業的資訊安全控制
此標準可以幫助保護電子流程控制系統,用於控制和監測電能、天然氣、石油和熱能的生產、傳輸、儲存和分配,以及控制相關的支援流程。
可以利用該標準做什麼:
- 系統地確保資訊的保密性、可用性和完整性的保護目標。
- 不斷提高安全等級和抵抗未授權的存取
- 實現更高的行動安全和法律確定性,提高對相關合規要求的遵守程度
- 提高員工和管理人員的安全意識
- 在所有利益關係人中實現高度的信任和忠誠度
- 向政府當局展現安全措施有效性的公認證明,如德國聯邦網路局(BNetzA)。
ISO 27006 - 對驗證機構的要求
ISO 27006針對執行資訊安全管理系統驗證的機構,例如 DQS。ISO 27006驗證標準描述了驗證機構在根據ISO 27001評估其客戶的管理系統以獲得驗證時必須遵循的要求。
ISO/IEC 27006:2021
資訊技術-安全技術-對提供資訊安全管理系統稽核和驗證的機構的要求
這包含了,例如:特定稽核工作的證明或關於稽核人員資格的規範。該標準中概述的認證流程保證了由經認可的認證機構頒發的ISO 27001證書具有國際有效性。
使用此標準可以實現的目標:
- 驗證、追查和重新驗證稽核流程的統一標準
- 確保ISO 27001證書的有效性
- 確保對計算和執行驗證流程的人員的稽核工作和資格的最低要求
ISO 27002 - 資訊安全控制的指南
符合ISO 27001的資訊安全管理系統(ISMS)包含規範性附件A:資訊安全控制參考。本附件包含作為管理系統一部分實施的與組織相關的具體措施。 ISO 27002 是一份指南,其中包含實施 ISO 27001 措施的建議。
該指南於 2022 年初進行了全面修訂和更新。新版本為資訊安全管理人員提供了明確的執行指導,不遺漏處理資訊安全風險的重要措施。
ISO/IEC 27002:2022 資訊安全、網路安全和隱私保護 - 資訊安全控制
可以使用此標準來做:
- 協助ISO 27001的實施
- 實施ISO 27001附件A中的措施建議
ISO 27000 - 資訊安全管理系統的概述和詞彙
ISO 27000包含在ISO 2700X系列標準中使用的術語和定義。ISO 27000概述了資訊安全管理系統和ISO 2700x系列標準及其資訊安全標準。
ISO/IEC 27000:2018
資訊技術 - 安全技術 -資訊安全管理系統 - 概述和詞彙
在詞彙表中,對(技術)術語有了明確和正式的定義。
可以用這個標準做什麼:
- 詞彙表:涵蓋資訊安全領域ISO2700x系列標準中使用的大部分技術術語。
- 術語的明確性
- 評審員和稽核員之間對詞彙的清晰理解("共同語言")。
- 資訊安全管理系統概述:介紹資訊安全、風險和安全管理以及管理系統
ISO 27701 - 資料保護管理指南
特別是與資料隱私相關的資訊安全標準 ISO 27701規定了基於ISO 27001、ISO 27002(資訊安全控制)和ISO 29100(資料隱私框架)的資料保護管理系統 ,以適當處理個人資料和資訊安全。這適用於個人資料的控制者和處理者。
ISO/IEC 27701:2019-08 安全技術--針對隱私資訊管理的ISO/IEC 27001和ISO/IEC 27002擴展--要求和指南
如何能透過這個標準取得成功:
- 更好地管理個人資料和資訊安全
- 對個人資料更容易應用共同的資訊風險管理原則
- 統一並擴展ISO 27001以及相關的ISO 27002中的控制措施
ISO 27017 - 雲端服務中的資訊安全措施指南
ISO 27017標準在資訊安全標準中為雲端運算的資訊安全措施提供指導。
ISO/IEC 27017:2015
資訊技術--安全技術--基於ISO/IEC 27002的雲端服務資訊安全控制實施准則
它建議、支援並提供了實施雲端特定資訊安全控制的額外措施。
透過該標準可以實現什麼:
- 了解雲端運算的資訊安全方面
- 設計和實施特定雲端運算的資訊安全控制措施
- 對選擇、實施和管理雲端運算的資訊安全的選項進行控制
ISO 27018 - 雲端服務中的資料保護指南
ISO 27018 標準提供了指導,以確保雲端服務供應商提供適當的資訊安全控制,通過確保委托給他們的個人資料安全來保護客戶的隱私。
ISO/IEC 27018:2019
資訊技術--技術--在作為PII處理器的公共雲端中保護個人身份訊息(PII)的實施准則
該標準之後是ISO 27017(雲端服務中的資訊安全措施),它涵蓋了雲端運算的其他資訊安全方面,而不僅僅是資料保護。
以下是可以使用標準執行的作法:
- 選擇PII保護控制作為實施基於ISO 27001的雲端運算資訊安全管理系統的一部分。
- 實施普遍接受的PII保護控制。
- 加強知識,因為該標準以ISO 27002為基礎,並在某些方面擴展了其一般建議
- 將多項資料保護法律與法規中展現的OECD隱私原則聯結起來
ISO 27005 - 關於資訊安全風險管理的指南
ISO 27005標準是關於資訊安全風險管理的指南,並支援ISO 27001中規定的這方面的一般概念。
ISO/IEC 27005:2018-07
資訊技術 - IT安全技術 - 資訊安全風險管理。
ISO 27005還旨在協助基於風險管理概念的資訊安全實施。
可以使用標準執行如下:
- 基於風險管理方法實施資訊安全
- 風險管理背景的定義
- 相關資訊風險進行定量或定性評估(即鑑別、分析和評估)。
- 持續監測和審查風險、風險處理、要求和標準
- 適當處理風險
- 與所有利益相關人的持續溝通
ISO 27007 - ISMS稽核指南
ISO 27007是進行稽核的指南,適用於根據ISO/IEC 27001評估ISMS的內部和外部稽核員。
ISO/IEC 27007:2020
資訊安全、網路安全和隱私保護--資訊安全管理系統稽核指南
該指南主要基於管理系統稽核指南(ISO 19011),並為資訊安全管理系統(ISMS)提供額外的附加指南。
以下是如何使用標準取得成功:
- 專門針對ISO 27001 ISMS稽核的指南
- 整合自ISO 19011的關於規劃和進行稽核的指導意見
- 關於ISMS稽核員能力的重要訊息
- 了解和執行ISMS稽核
DQS - 我們能為 貴公司做什麼
自1985年以來,DQS一直是管理系統和流程驗證領域的領先專家。從那時起,DQS的歷史就與ISO 9001的歷史緊密相連。在每年約30,000個稽核人天中,我們帶給客戶的是我們在全球的專業知識和對標準的廣泛了解。因此,您可以看到您的選擇是什麼。
信任和專業知識
我們的內容和白皮書完全由我們的標準專家或資深稽核員撰寫。資訊安全標準的概述也是如此。如果對本文內容或我們對作者的服務有任何疑問,請隨時聯絡我們。
資訊安全標準:ISO 2700X系列標準中的其他主題
ISO 27003 - ISMS的開發和實施指南
ISO/IEC 27003:2017
資訊技術 - 安全技術 - 資訊安全管理系統 - 指南。
ISO 27004 - 資訊安全管理測量方法指南
ISO/IEC 27004:2016
資訊技術-安全技術-資訊安全管理-監測、測量、分析和評估。
ISO 27008 - 資訊安全措施的評估指南
ISO/IEC TS 27008:2019
資訊技術-安全技術-資訊安全控制的評估指南
ISO 27009 - 資訊管理系統的特定部門應用指南
ISO/IEC 27009:2020
資訊安全、網路安全和隱私保護-ISO/IEC 27001的特定部門應用-要求
ISO 27010 - 跨部門和跨組織通訊的資訊安全管理指南
ISO/IEC 27010:2015
資訊技術-安全技術-跨部門和跨組織通訊的資訊安全管理
ISO 27011 - 電信產業資訊安全管理指南
ISO/IEC 27011:2016
資訊技術-安全技術-基於ISO/IEC 27002的電信組織資訊安全控制實施准則
ISO 27013 - ISMS和IT服務管理的整合實施指南
ISO/IEC 27013:2021
資訊安全、網路安全和隱私保護--ISO/IEC 27001和ISO/IEC 20000-1的整合實施指南
ISO 27014 - 資訊安全的 "治理"
ISO/IEC 27014:2020
資訊安全、網路安全和隱私保護 - 資訊安全的治理
ISO 27016 -資訊安全管理經濟學
ISO/IEC TR 27016:2014
資訊技術 - 安全技術 - 資訊安全管理 - 組織經濟學
ISO 27021 - ISMS專業人員的能力要求
ISO/IEC 27021:2017/AMD 1:2021
技術 - 資訊安全管理系統專業人員的能力要求 - 修訂1:在能力要求中增加ISO/IEC 27001:2013的條款或子條款
ISO 27031 - 業務連續性指南
ISO/IEC 27031:2011
資訊技術--安全技術--業務連續性資訊和通訊技術準備指南
提示:閱讀我們關於業務連續性管理的部落格,了解 ISO 22301 標準為確保公司在特殊情況下的持續存在所建議的內容。
ISO 27032 - 網路安全性指南
ISO/IEC 27032:2012
資訊技術 - 安全技術 - 網路安全指南
ISO 27033 - 網路安全指南
ISO/IEC 27033
資訊技術 - 安全技術 - 網路安全
第1部分:概述和概念,第2部分:網路安全設計和實施指南,第3部分:參考網路方案-威脅、設計技術和控制問題,第4部分:使用安全通道確保網路之間的通訊安全,第5部分:使用虛擬專用網路(VPN)確保跨網路通訊安全,第6部分:確保無線IP網路連結安全
ISO 27034 - 關於應用安全指南
ISO/IEC 27034
資訊技術 - 安全技術 - 應用安全
第1部分:概述和概念,第2部分:組織規範框架,第3部分:應用程式安全管理流程,第4部分:驗證和確認,第5部分:協議和應用安全控制資料結構,第6部分:編制研究,第7部分:保證預測框架
ISO 27035 - 資訊安全事件管理指南
ISO/IEC 27035
資訊技術 - IT安全實施 - 資訊安全事件管理
第1部分:事件管理的基本原理,第2部分:事件應對的規劃和準備指南,第3部分:資訊和通訊技術事件應對指南(草案)。
ISO 27036 - 關於供應商關係指南
ISO/IEC 27036
資訊技術 - 安全技術 - 供應商關係的資訊安全
第1部分:概述和概念,第二部分:要求,第三部分:資訊和通訊技術供應鏈安全指南,第四部分:雲端服務安全指南
ISO 27037 - 處理數位證據准則
ISO/IEC 27037:2012
資訊技術-安全技術-數位證據的鑑別、收集、獲取和保存指南
ISO 27038 - 數位編輯規範
ISO/IEC 27038:2014
資訊技術-安全技術-數位編輯的規範
ISO 27039 - 入侵檢測系統(IDPS)指南
ISO/IEC 27039:2015
資訊技術-安全技術-入侵檢測和預防系統(IDPS)的選擇、部署和操作
ISO 27040 - 儲存安全指南
ISO/IEC 27040:2015
資訊技術 - 安全技術 - 儲存安全
ISO 27041 - 事件調查方法指南
ISO/IEC 27041:2015
資訊技術-安全技術-確保事件調查方法的適用性和充分性指南
ISO 27042 - 數位證據的分析和解釋指南
ISO/IEC 27042:2015
資訊技術-安全技術-數位證據的分析和解釋指南
ISO 27043 - 事件調查流程指南
ISO/IEC 27043:2015
資訊技術-安全技術-事件調查原則和流程
ISO 27050 - 電子檢測指南
ISO/IEC 27050
資訊技術--電子發現
第1部分:概述和概念,第2部分:電子發現的治理和管理指南,第3部分:電子發現的實施守則
ISO 27102 - 網路保險指南
ISO/IEC 27102:2019
資訊安全管理-網路保險指南
ISO 27103 - 網路安全和ISO/IEC標準指南
ISO/IEC TR 27103:2018
資訊技術-安全技術-網路安全與ISO和IEC標準
ISO 27550 - 系統生命週期流程的隱私工程
ISO/IEC TR 27550:2019-09
資訊技術-安全技術-系統生命週期流程的隱私工程
ISO 27799 - 醫療保健領域的資訊安全管理
ISO 27799:2016
健康資訊學 - 使用ISO/IEC 27002的健康資訊安全管理
DQS 電子報
André Saeckel
在DQS擔任資訊安全管理的product manager。作為資訊安全和IT安全目錄(關鍵基礎設施)領域的標準專家,André Säckel負責以下標準和產業特定標準等。ISO 27001、ISIS12、ISO 20000-1、KRITIS和TISAX(汽車產業的資訊安全)。他也是ISO/IEC JTC 1/SC 27/WG 1工作組的成員,作為德國標準化研究所DIN的國家代表。